Şirketler teknolojiyi her alanda kullanarak verimliliklerini artırıyorlar. Satış, pazarlama, AR-GE, satınalma, insan kaynakları üzere her bir ünite data üretiyor, işliyor ya da kullanıyor. Dijitalleşme, gerçek araçlarla uygun kullanılırsa kıymetli bir yarara dönüşürken, siber güvenlik tedbirleri hakikat kurgulanmadıysa, kolay bir ihmal nedeniyle, değerli problemler ortaya çıkabiliyor. Örneğin; bir çalışan, ziyanlı yazılım bulaşmış bir şahsî USB belleğini şirket aygıtına taktı ve birdenbire olumsuz bir olay ortaya çıktı ya da muhasebedeki bir yetkili, dikkatsizce davranarak, açmaması gereken bir maili açtı. Bu türlü bir durum ile karşılaştığınızda sorunu tespit etmek için gerekli sistemleri şirketinize kurdunuz mu? İstenmeyen bir olaya karşı bir hareket planınız; olay müdahale planlamanız var mı?
ESET uzmanları, bu tip durumlara karşı, şirketlere yol haritası olabilecek temel adımlar hakkında bilgilendirmede bulundu.
1. Hazırlık Aşaması
Rastgele bir olay gerçekleşmeden evvel, birinci etapta meydana gelebilecek meseleleri en aza indirecek uygun güvenlik denetimlerini kurmak kıymetlidir. Şirket ağının yapılandırılması ve bakımı, güvenliği yapılmalıdır. Bu, sunucuları, işletim sistemlerini ve uygulamaları yeni tutmayı, uygun biçimde yapılandırmayı ve makûs gayeli yazılım muhafazası ile güçlendirmeyi içerir. Çalışanların kesinlikle eğitim almasını sağlayın.
Ağınızı kurmanın kıymetli bir modülü, ağınızda meydana gelen olayları toplamak ve tahlil etmek için gerekli tüm izleme ve günlük araçlarının yerinde olduğundan emin olmanızdan geçiyor. Bir olay müdahale grubu kurulması, bu ekibinin şirket içinden mi şirket dışından mı oluşturulacağına karar verilmesi gerekiyor. Alacağınız karar ile ilgili ayırmanız gereken kaynak ve bütçeyi de hesaplamalısınız. Hazırlık evresinin öbür bir noktasını dayanak grupları oluşturmaktadır. Yaşanabilecek bir olayla ilgili rastgele bir irtibatı medya, ortaklar, müşteriler ve/veya kolluk kuvvetleriyle birlikte yönetmek için hukuk müşaviri ve halkla alakalar gruplarının de önemli olduğunu unutmamalısınız.
2. Tespit ve Tahlil
Bu basamakta, olay müdahale analistleri, tüm izleme araçları ve günlükleri tarafından kendilerine sunulan çok çeşitli data biçimleriyle, ağda tam olarak ne olduğunu ve neler yapılabileceğini anlamak için bilgi, tecrübe ve mantıksal düşünme gücünü ortaya koyarlar. Analistin vazifesi, meseleye yol açan olay dizilerini yine oluşturmak için olayları ilişkilendirmektir. Bunun için elinizde kullanabileceğiniz ve sizi destekleyebilecek araçlarınız olması gerekecektir. Kuşkulu olayları otomatik olarak işaretleyen ve olay yanıtlayıcıları tarafından daha fazla inceleme için tüm süreç ağaçlarını kaydeden ESET Enterprise Inspector uç nokta tespit ve müdahale tahlilleri çalışmalarınızı bu kapsamda destekleyecektir.
3. Caydırıcılık, Yok Etme ve Kurtarma
Üçüncü kademede, güvenlik olayı müdahele grubu tespit edilen tehditlerin daha fazla yayılmasını durdurmak için kullanacağı prosedüre karar verir. Bir sunucu mu kapatılmalı, bir uç nokta mı izole edilmeli yahut belli hizmetler mi durdurulmalı? Seçilen tedbire stratejisi, ispatları muhafazayı ve tedbire mühletince alınabilecek daha fazla hasar mümkünlüğünü göz önünde bulundurmalıdır. Çoklukla bu, tehdit altındaki sistemleri izole etmek, ağın modüllerini kısımlara ayırmak yahut etkilenen makineleri bir Sandbox’a koymak manasına gelir. Sandbox, tehdidin daha fazla izlenmesini ve daha fazla ispat toplanmasını sağlama avantajına sahiptir. Bununla birlikte, tehdit altındaki bir ana bilgisayarın sandbox’tayken daha fazla hasar görmesi tehlikesi vardır.
4. Olay Sonrası Aktiflik
Müdahele takımı, bir olay yapılanması ve vakit çizelgesi sağlayıp belgelemelidir. Bu, olayın temel nedenini ve tekrarlamasını yahut misal bir olayı önlemek için neler yapılabileceğini anlamaya yardımcı olur. Bu tıpkı vakitte tüm takımların kullanılan süreçlerin ve prosedürlerin aktifliğini gözden geçirmek, irtibat ve işbirliği zorluklarındaki boşlukları belirlemek ve mevcut olay müdahale planına verimlilik kazandırmak için fırsatlar arama vaktidir. Son olarak, idare olay sırasında toplanan delilleri saklama siyasetine karar vermelidir. Bu nedenle, öncelikle hukuk departmanınıza istişareden sabit diskleri silmeyin. Birden fazla kuruluş, yönetmeliklere ahenk sağlamak için iki yıl boyunca olay kayıtlarını arşivler.
Olay müdahale araç setinizi güçlü soruşturma yetenekleriyle tamamlamak isterseniz ESET Enterprise Inspector’ı deneyebilirsiniz.